騰訊安全禦見情報中心: 微軟17年漏洞偽裝賬單突襲全球外貿行業

外貿行業用以交流商務信息的“商貿信”正在被不法分子大肆“投毒”。12月5號，騰訊安全禦見情報中心發出預警：一款針對外貿行業的“商貿信“病毒，利用微軟漏洞將Word文檔偽裝成采購清單、帳單等文件，通過郵件在全球外貿行業內大量傳播，僅一天時間就有約10萬國內用戶收到此類釣魚郵件，主要集中在台灣、長三角、珠三角等外貿行業相對發達的地區。一旦用戶不慎下載釣魚郵件的有毒附件文檔，個人上百種賬號及敏感信息將被偷竊，造成經濟損失;同時，中毒用戶還將在不法分子的操控下，發起DDoS攻擊，影響更多網民。

目前，騰訊電腦管家已全麵攔截此類漏洞攻擊。騰訊電腦管家安全專家、騰訊安全聯合實驗室反病毒實驗室負責人馬勁鬆建議廣大用戶，對於來曆不明的郵件，勿隨意點擊其中的超鏈接及附件，應及時修補係統和Office相關漏洞，以防不法黑客攻擊。

(騰訊電腦管家攔截漏洞攻擊)

魚叉攻擊精準“部署”外貿行業 全球約150萬用戶受影響

根據騰訊安全禦見情報中心監測發現，“商貿信”誘餌文檔內的惡意代碼一旦被觸發，就會自動從攻擊者的雲端下載遠控木馬，進而竊取比特幣、銀行卡、郵箱、社交軟件等上百種帳號及敏感信息，使受害者蒙受經濟損失。同時該木馬還帶DDoS功能，對其他的網絡目標發起攻擊。

從“商貿信”攻擊對象來看，大多數為外貿從業人員。不法分子將有毒文件重命名為PI.doc、PurchaseOrder.doc等帳單、訂單文件，並通過相應帳單、訂單等郵件內容誘導收件人打開查看。騰訊安全禦見情報中心監測報告稱，“對於外貿從業人員收到訂單郵件是常態，如果郵件正文搭配極具說服力的內容，很多收到郵件的業務人員都會下載查閱附件。”

(“商貿信”病毒攻擊流程)

最近2天，不法黑客向全球150萬外貿從業者發送了釣魚郵件。其中，中國和美國為主要攻擊對象。在國內，受攻擊者主要集中在台灣、珠三角、長三角等外貿行業相對發達的地區。

馬勁鬆指出，本次釣魚郵件具備魚叉攻擊的典型特征，用極具誘惑力的名稱為誘餌，提升釣魚文件的點擊執行率。同時，其目標明確，針對目標群體針對性地編造釣魚郵件，可以最大限度地提升攻擊成功率，而更重要的是，外貿從業者郵箱聯係人、郵箱、社交網絡帳號等一些商業機密也極為珍貴。攻擊者得到這些信息之後，除了直接竊取個人資產、販賣個人信息獲利之外，通過竊取的郵箱、社交網絡帳號可以繼續尋找下一批攻擊者。

17年“高齡”漏洞為罪魁禍首 騰訊電腦管家建議速補漏洞

此次不法分子發動大規模釣魚攻擊，正是利用了一個存留長達17年之久的微軟高危漏洞(CVE-2017-11882)。此漏洞於近日結束了潛伏期，使不法分子有機可趁。本次釣魚郵件中含有的惡意文檔正是利用了該高危漏洞實現了遠程執行惡意代碼。

該漏洞被發現於11月14日微軟發布的11月的安全更新中，但在更新發布之後不久，安全公司EMBEDI在官方博客上公開了其向微軟提交的編號為CVE-2017-11882的Office遠程代碼執行漏洞,講述了他們如何發現這個漏洞的過程，並揭露了該漏洞的部分技術細節。隨後漏洞驗證代碼(PoC)被公開，可通過Github等渠道下載。

該漏洞的利用代碼非常簡單而且穩定，極易用於不法黑客攻擊，特別是釣魚郵件攻擊：利用漏洞可以很容易構造出包括惡意代碼的Office文檔，點擊後無需任何用戶交互就可以遠程執行任意代碼。同時，漏洞影響所有的Microsoft Office版本以及Office 365。意識到問題的嚴重性之後，騰訊電腦管家也相繼發布了多條關於CVE-2017-11882預警通告。

目前，針對外貿行業的商貿信病毒仍在持續肆虐中，騰訊電腦管家建議廣大用戶及時安裝漏洞補丁(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882)，並安裝安全軟件抵禦病毒侵襲，騰訊電腦管家已可攔截該漏洞攻擊。對於企業網管而言，可以過濾IOCs裏的郵件發件人的一切郵件，並為防火牆新增IOCs裏ip和url的攔截。